FacebookのIPアドレスのような会社を見つけるにはどうすればよいですか。私は職場でfacebookをブロックしようとしていますが、HTTPsとURLのブロックに問題があります。FacebookのIPをブロックするたびに、ポップアップが表示されます。
Facebook、Myspace、Snapchatなどが使用するすべてのIPを簡単に見つける方法はありますか?
回答:
Facebook、Myspace、Snapchatなどが使用するすべてのIPを簡単に見つける方法はありますか?
例としてFacebookを使用しています...私たちはASAで帯域幅を合計のわずかな部分に直接ポリシングします(社内の別のグループがWebプロキシを所有しているため)。
通常、会社のASNを検索し(Facebookは32934)、次にhttp://as.robtex.com/as32934.html#bgpプレフィックスに移動します。
そのリストから、トラフィックを分類するために使用できるCisco ASAオブジェクトグループを作成します...これは現在使用しているものです... Facebookは少量の帯域幅に調整されます...それは非常にうまく機能します。
しばしば、戻ってrobtex AS-infoをチェックし、プレフィックスが追加または削除されたかどうかを確認する必要があります。私は通常、彼らがその大きな集合体から小さなブロックだけを発表している場合でも、彼らが持っている最大の集合体ブロックを取ることを試みます。
object-group AS32934_Facebook
network-object 31.13.24.0 255.255.248.0
network-object 31.13.64.0 255.255.192.0
network-object 66.220.144.0 255.255.240.0
network-object 69.63.176.0 255.255.240.0
network-object 69.171.224.0 255.255.224.0
network-object 74.119.76.0 255.255.252.0
network-object 103.4.96.0 255.255.252.0
network-object 173.252.64.0 255.255.192.0
network-object 204.15.20.0 255.255.252.0
リストを生成するために使用するPythonコードは簡単です...
from ipaddr import IPv4Network, CollapseAddrList
fb_nets = list()
with open('facebook_nets.txt') as fh:
for line in fh:
net = IPv4Network(line.strip())
fb_nets.append(net)
print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
print " network-object %s %s" % (net.network, net.netmask)
このコードでは、すべてのプレフィックスを「facebook_nets.txt」というテキストファイルに入れ、1行に1つのプレフィックスを付けることを想定しています...
(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$
実際、私のスクリプトは毎週自動的に情報をWebスクレイピングしますが、これは簡易版です。
Facebookなどの主要な組織のIP範囲を見つける方法はいくつかあります。これらの最も基本的な方法は、選択したターミナル/コマンドラインを開き、コマンドを発行することですnslookup facebook.com。
これにより、そのDNS名に関連付けられたIPアドレスが得られます。この場合、173.252.110.27DNSサーバーからの回答でした。
次に、そのIPアドレスに対して「whois」ルックアップを実行します(コマンドラインにwhoisツールがない場合は、Whois.netにアクセスできます)。whois 173.252.110.27
この場合の関連する出力は次のとおりです。
NetRange: 173.252.64.0 - 173.252.127.255
CIDR: 173.252.64.0/18
OriginAS: AS32934
NetName: FACEBOOK-INC
Facebookには/ 18ブロック全体が割り当てられている173.252.64.0/18ため、ACLにその範囲を使用します。
注:上記のすべてで、IPによるブロックは非常に迅速に面倒になり、多くの場合非常に無効になります。Facebookの規模の組織では、新しいIPスペースが常に追加されますが、これはフィルター処理の範囲外です。
一部のサイトは、新しいCDNを使用するように変更される可能性があります。もちろん、異なるCDスペースも使用されます。
HTTPSおよびURLブロッキングに特定の問題がある場合は、機器によっては、それらの特定の問題に関する支援を別の質問で尋ねることができます。回答は、これらのサイトへのアクセスをブロックするのに役立ちます。
whoisルックアップは、私が確認したいくつかの範囲について、割り当てられた組織としてFacebookをリストします。私の経験では、HEのBGPツールキットは正確な情報を提供するのに適しています。
受け入れられないWebサイトをブロックするには、通常、プロキシサーバーまたはWebフィルタリングファイアウォールを使用します。すべての人にプロキシの使用を強制してWebへの通常のアクセスをブロックするか、ファイアウォールを使用して問題のあるURLをブロックします。IPアドレスを使用することは、大きなサイトでは頻繁に変更される可能性があるため(WebサイトがCDNに、またはCDNから切り替えるとき、あなたの場所により近い別のクラスターを追加するときなど)、Webサイトに適したオプションではありません。
FacebookやGoogleなどの大企業では、大きなWebサイトが使用するすべての IPアドレスを見つけることは非常に困難です。また、IPをブロックしているにもかかわらず、これらのサイトにアクセスするためのプロキシとして使用できる多くのサービスがあります。
NBARを使用してFacebookを調整しましたが、ブロックするように調整できます。これは、HTTPSへのリダイレクトが行われる前にブラウザにアドレスを入力する人を効果的にブロックするプレーンテキストのHTTPリクエストでのみ機能します。FBへのSSL(TLS)ブックマークが失われます。
また、これをまだ展開していませんが、これを処理できるはずの新しいASA-X CX(コンテキスト対応セキュリティ)を見ることができます。
クラスマップマッチ-任意のfacebook-not4you
一致プロトコルhttpホスト「* facebook.com」
一致プロトコルhttpホスト "* fbcdn.net"
!
ポリシーマップbadfacebookbad
クラスfacebook-not4you
落とす
!
インターフェイスGi0 / 1
サービスポリシー出力badfacebookbad
あなたの代わりに、もしお金を使うチャンスがあれば、ゲートウェイとLANの間にUTM対応のボックスを設置します。
たとえば、FortiGateファイアウォールを透過モード(イーサネットブリッジのように動作する)に設定し、「ソーシャルネットワーキング」サイトカテゴリ宛てのすべてのWeb要求をドロップするのは非常に簡単です。